Panorama de la Auditoría Interna en Costa Rica
12
2019 Perfil de la profesión Panorama de la Auditoría Interna en Costa Rica
Transcript of Panorama de la Auditoría Interna en Costa Rica
2019
Perfil de la profesión
Panorama de la Auditoría Interna en Costa Rica
En los últimos años hemos sido testigos de complejas transformaciones en las actividades económicas, marcos regulatorios, así como en el entorno social y político en nuestro país.
Sin duda vivimos tiempos de acelerado cambio, pero ¿qué significa esto para la Auditoría Interna (A.I.)? Es necesario ir más allá de un enfoque de control, prevención y cumplimiento para consolidarse como un asesor para la junta directiva y la alta dirección.
Si bien la exigencia es cada vez mayor, no hay evidencia de condiciones que favorezcan los resultados del departamento. Por tal motivo, el Instituto de Auditores Internos y KPMG en Costa Rica realizaron esta investigación buscando conocer la realidad nacional de la profesión.
El estudio muestra notables resultados donde sobresale el limitado uso de la tecnología en el trabajo de auditoría, en la aplicación de técnicas de análisis de datos y de auditoría continua, además de la desvinculación de los planes estratégicos de la A.I. con las estrategias corporativas.
Otros temas relevantes identificados son:
• La necesidad de alinear las evaluaciones de riesgos con el comité de auditoría y la dirección ejecutiva.
• Limitaciones presupuestarias.
• Restricciones de acceso a los auditores internos a bienes y registros para la ejecución de sus tareas.
• Deficiente capacitación y actualización de los auditores.
Presentamos en este informe la visión de las personas al frente de las áreas de A.I., los factores que marcan su trabajo, las generalidades del sector y sus principales retos y estrategias para el futuro.
Federico GarcíaSocio de AsesoríaKPMG en Costa Rica
David GalánVicepresidenteInstituto de Auditores Internos de Costa Rica
2
Resumen ejecutivo
La A.I. le reporta directamente a la junta directiva (71%) o a un comité de auditoría (20%).
Solo el 36% considera que los planes estratégicos de auditoría interna están completamente vinculados con la estrategia corporativa.
Uno de cada dos auditores internos considera que el presupuesto no es congruente con las responsabilidades y funciones del departamento.
Los principales riesgos percibidos para el departamento de auditoría interna son el cumplimiento de los marcos regulatorios, los riesgos operacionales y tecnológicos.
disponen de misión, visión, manuales de procedimientos y plan estratégico para la auditoría interna.
no suelen subcontratar ningún tipo de ayuda adicional para su departamento.
carece de indicadores de desempeño.
80%
59%
60%
De los auditores reciben menos de 40 horas de
capacitación al año.
No usa ninguna técnica de análisis masivo de datos.
Utiliza intensamente la tecnología en todas las fases de la auditoría.
De las auditorías nunca se han sometido a una evaluación
externa de la calidad o desconocen de su ejecución.
¿Cómo es el departamento de A.I.?
60%
44%
55%
36%
Los resultados que se muestran se obtienen de una encuesta realizada en junio del 2019 por el Instituto de Auditores Internos y KPMG en Costa Rica, con la participación de 110 auditores internos, principalmente en cargos de jefatura o supervisión.
3
Acercamiento al departamento de Auditoría Interna
Los encuestados mencionan que en sus organizaciones existe una definición clara de las funciones de A.I., ya que aproximadamente ocho de cada diez consultados manifestaron la existencia de una misión y visión establecida para el área, además de contar con manual de procedimientos y plan estratégico. 70% de los encuestados reporta la existencia de un código de ética y 65% la existencia de estatutos para la A.I.
Los procesos en la auditoría suelen estar debidamente documentados y monitoreados de manera continua con controles manuales (65%) o de manera automática (18%).
Pese a esta formalización, cerca del 17% de los entrevistados expresaron que sus procesos de A.I. no están documentados y se ejecutan al mejor criterio del profesional.
Técnicas de A.I. continua todavía experimentan un uso poco extendido, donde solo 42% de los entrevistados reportó su ejecución.
De igual manera, el uso de las herramientas tecnológicas siguen siendo un punto de mejora ya que 47% de los consultados expresó darles un uso limitado e incluso un 15% menciona no utilizar estos recursos. Solo 36% dice utilizar la tecnología de manera frecuente en todas las fases de la auditoría.
El empleo de técnicas de análisis de datos no se encuentra posicionado como una práctica habitual en las organizaciones, ya que solo el 11% de los entrevistados manifiesta su uso en toda la empresa, mientras un 60% señala que solo se utiliza de forma reducida en algunos departamentos o casos aislados; el restante 30% expresa no utilizarla del todo o no conocer de su uso.
En las auditorías internas, 55% de los consultados respondieron que no utilizan técnicas de análisis de datos y un 72% de los que reportan emplear estas técnicas utilizan herramientas tecnológicas que presentan serias limitaciones en el manejo de altos volúmenes de datos.
Lo anterior resulta en la necesidad de las auditorías internas de subcontratar el apoyo de especialistas en tecnología de información (21% de los casos), aunque también se suele contratar a terceros en trabajos especiales complejos de otra naturaleza (12%), o bien, en la contratación
4
¿Tiene el auditor interno acceso ilimitado a bienes y registros de la organización?
23%No Sí
73%4% No sabe / No responde
¿Ha realizado algún proceso
de evaluación externa de la
auditoría interna?
Control de la calidad
Las evaluaciones de calidad de A.I. son requeridas por regulaciones y sugeridas como mejores prácticas, pese a esto 44% de los encuestados manifestaron nunca haber estado sujetos a una evaluación externa de la calidad o desconocen de su ejecución.
El 15% de los encuestados que respondieron que sí han estado sujetos a evaluaciones de calidad, mencionaron que estas pruebas se realizaron hace más de 5 años.
Documentos presentes en los departamentosCantidad de casos registrados
87
4
8
46
71
79
91
90
Plan estratégico
Ninguno
Otros
Indicadores de desempeño
Estatutos
Código de ética y conducta
Misión y visión
Manual de procedimientos
temporal de auditores que refuercen el departamento (11%).
Resalta que el 60% de los consultados manifiesta no contratar servicios tercerizados para sus departamentos, situación que podría justificarse en limitaciones presupuestarias ya que casi la mitad de los entrevistados (48%) considera que el presupuesto del departamento no es congruente con sus responsabilidades y funciones.
También causa inquietud que el 27% de los encuestados expresó no tener acceso ilimitado a bienes y
registros de la organización para la ejecución de sus tareas.
Estas restricciones de acceso constituyen un importante incumplimiento de la normativa que regula la función de A.I., tanto en el sector público como en el privado.
En cuanto a la evaluación del desempeño de la función de A.I. resalta el hecho de que el 59% de los entrevistados señalaron que su departamento carece de indicadores de desempeño.
5
Nivel de reporte de la auditoríaLos responsables de la A.I. reportan normalmente a las juntas directivas y consejos de administración (71% de los casos observados) o a un comité de auditoría (20%).
El resto de los encuestados le reportan a puestos ejecutivos tales como el gerente general, primer ejecutivo, ministro o jerarca de la institución.
Pese a esto, 30% de los auditores consultados no asisten a las sesiones de la junta o del consejo.
Esto dificulta el desarrollo de su rol de asesor e incluso desperdicia la posibilidad de brindar información valiosa que oriente a la alta dirección en la definición de estrategias y toma de decisiones.
Un 53% de los encuestados reportó la existencia de un comité de auditoría en sus organizaciones.
El 76% indicó que estos grupos estan compuestos entre 3 y 5 integrantes. Se identifican también comités de auditoría más numerosos conformados entre 6 y 10 personas.
La independencia de los comités de auditoría es piedra angular de la efectividad del mismo.
Lo ideal es que cada miembro sea como un director externo, es decir, independiente de la administración. Al respecto, la presencia de al menos un integrante independiente se observa en el 73% de los casos donde se reporta la existencia de un comité, el resto reporta entre dos o más miembros de este tipo.
Resalta que el 46% de los encuestados menciona la ausencia de un comité de auditoría en sus organizaciones.
¿Asiste el auditor interno a las reuniones de la junta directiva o consejo administrativo?
68% 30% 2%No sabe / No responde
Sí
No
6
7
La investigación revela que aproximadamente de cada diez auditores internos consultados, siete reportan que sus organizaciones cuentan con un proceso formal para la gestión de riesgos, dos lo gestionan de manera informal y una carece por completo de este tipo de procedimientos.
El 48% de los encuestados manifestaron que las evaluaciones de riesgos por parte de la auditoría son realizadas de manera continua en cada proyecto, 25% lo realizan anualmente con actualización periódica y 12% sin dicha actualización.
Cerca del 15% expresaron no haber ejecutado evaluación de riesgos o desconocieron si se realiza.
Gestión de los riesgos
Un 25% de los entrevistados manifestaron no considerar el riesgo de fraude al momento de realizar su auditoría, lo cual representa un incumplimiento importante de las normas.
Todo lo anterior sugiere que todavía hay espacio para realizar esfuerzos que busquen el fortalecimiento de la cultura de gestión de los riesgos, así como la posibilidad de ejecutar metodologías y conceptos de uso extendido, como es el caso del modelo de “las tres líneas de defensa para una efectiva gestión de riesgos y control” promulgado por el Instituto Global de Auditores Internos.
Sobre este modelo, solo la mitad de los encuestados expresó su aplicación a nivel organizacional; incluso se identifica un desconocimiento importante en el tema ya que el 22% de las personas encuestadas mencionaron desconocer el modelo o no tener conocimiento de su uso en la empresa.
Frecuencia de las evaluaciones de riesgos
48%12%
10%5%
25%
En adición a su rol de vigilancia y cumplimiento, crece la necesidad para que la función de A.I. desempeñe un papel más relevante como asesor proactivo de negocios, brindando soporte a la alta dirección y el consejo de administración para el logro de los objetivos de la organización.
Es importante que la estrategia de la auditoría responda a la visión corporativa, no obstante solo 36% de los encuestados expresa que sus planes están completamente alineados a la misma, mientras que el 22% considera que lo están solo parcialmente.
Es alarmante que el 37% expresa desconocer si sus acciones son congruentes con el resto de los planes de la organización o bien consideran que del todo no están en sintonía. Incluso un 5% de los consultados señala que no hay plan alguno de la auditoría interna dentro de su organización.
Según las personas consultadas, también se observa una clara desvinculación al considerar los principales riesgos percibidos por parte de la A.I., el comité de A.I. y la dirección ejecutiva.
Las áreas que se consideran como una amenaza que requiere de atención para la A.I. se relacionan con el cumplimiento de los marcos regulatorios, el riesgo operativo y el riesgo de tecnologías de la información, mientras que el comité y la dirección muestran una visión más general preocupándose por los riesgos estratégicos, gobierno corporativo, riesgos financieros y de la gestión de riesgos.
La función de A.I. debe considerar las necesidades del negocio y las transformaciones en su entorno, lo que supone la capacidad para abordar nuevos requerimientos y contar con estrategias de auditoría flexibles.
Al respecto, un 47% de los encuestados manifestó que sus planes de trabajo se elaboran una vez al año con la posibilidad de ajustarlo a lo largo del año.
En poco más de la mitad de los casos la estrategia es menos tolerante al cambio, 34% manifestó que sus planes se elaboran una vez cada año y no se modifican, mientras que 12% planifican contemplando periodos más extensos de dos o tres años con una revisión anual.
8
Plan de auditoría sin alinearse con la estrategia organizacional
8
¿El plan está alineado con la
estrategia corporativa?
¿El plan está alineado con la estrategia corporativa?
36%
4%
5%
33%
22%
Principales amenazas percibidas
Al consultarse sobre las acciones que se ejecutarían en el corto plazo se identifica una tendencia hacia el uso de la tecnología, donde el 47% expresó su interés por adquirir software para la ejecución del trabajo, 34% comentó sobre la implementación de herramientas de D&A y 21% acerca la contratación de un especialista en ciberseguridad.
Adicionalmente, casi un 30% manifestó la contratación de auditores para poder cubrir el universo de auditoría.
Llama la atención que 17% de los consultados no consideran ejecutar alguna acción en el corto plazo.
01
02
03
Principales acciones a realizar en el corto plazoCantidad de casos registrados
Ninguna
Otras
Adquirir software para el trabajo de auditoría
Implementar herramientasde Data & Analytics
Aumentar el número de colaboradores para cubrir el universo de la auditoría
No sabe / No responde
Contratar a un especialista en ciberseguridadCumplimiento/
Regulatorio
Riesgo operacional
Riesgos tecnológicos
Departamento
de A.I.
Riesgo estratégico de negocio
Aseguramiento de la gestión de
riesgo
Gobierno corporativo
Comité
de A.I.
Reducción de gastos
Riesgo financiero
Riesgo estratégico de negocio
Dirección
ejecutiva
9
Relevancia de la formación empíricaLa investigación estableció un alto nivel educativo de los auditores internos participantes, 44% de los encuestados expresaron poseer una maestría mientras que el restante 55% dijo contar con grado de bachiller o licenciatura.
Al preguntar sobre alguna especialización que hayan tomado, las más comunes fueron en gestión de riesgos (30%), tecnologías de la información (27%), fraude y ética (22%), cumplimiento (22%) y las relacionadas a Normas Internacionales de Información Financiera (21%).
Sin embargo llama la atención que cerca de tres de cada diez entrevistados expresaron no tener ninguna especialización. Es decir, a lo largo de su carrera no han tenido la necesidad o el deseo de especializarse en algún tema de manera formal.
Esta deficiencia en la formación se refuerza al observar que el 63% de los consultados manifestaron no disponer de alguna certificación profesional. Para aquellas personas que sí cuentan con una, las más comunes en el sector son la CIA (7.32%), CRMA (7.32%), ISO (6.5%) y CISA (3.25%).
Las organizaciones deben velar por mantener a sus auditores internos actualizados en cuanto a normas, metodologías, técnicas y herramientas de trabajo, por lo que diversas agrupaciones profesionales recomiendan otorgar al menos 40 horas de capacitación al año.
Pese a esto, solo el 43% de los encuestados indicaron recibir esta cantidad de horas o incluso más.
El 18% expresó no recibir ninguna capacitación del todo. Esta situación pone en una franca desventaja a estas personas, ya que al carecer de espacios para el aprendizaje continuo y el desarrollo de conocimiento se les dificulta mantener su competitividad en comparación con el resto de sus colegas.
Los encuestados que sí reciben capacitación expresaron que las técnicas de auditoría interna representan el tema más frecuente (70%), seguido de las habilidades de liderazgo (40%) y habilidades de pensamiento crítico (36%).
Gestión de riesgos33
Tecnologías de la información30
Cumplimiento25
Fraude y ética25
NIIF 24
Operaciones14
Otras30
Ninguna31
Especializaciones más frecuentes
Cantidad de casos registrados
10
Perfil de los participantes
Años de experiencia
Los resultados que se muestran en este documento se obtienen de una encuesta realizada en junio del 2019 por el Instituto de Auditores Internos de Costa Rica en conjunto con KPMG en Costa Rica.
Se contó con la participación de 110 profesionales de A.I., quienes fueron consultados por sus departamentos, así como por asuntos del comité de auditoría y dirección ejecutiva. Las personas ocupan cargos principalmente de jefatura (45%), de supervisión (18%) o subauditor principal (8%).
Por su perfil gerencial, el 73% de la población consultada supera los 40 años de edad y los 10 años de experiencia laboral en cargos de auditoría.
Su formación académica es en contaduría pública (86%), administración de empresas (34%) y finanzas (15%).
La mayoría de los participantes (54%) laboran en el sector público: instituciones públicas descentralizadas (35%), Gobierno Central (11%) y municipalidades (7%).
También se contó con una participación importante de auditores internos en entidades del sector privado: instituciones bancarias y financieras (24%), empresas de servicios (10%) y asociaciones solidaristas (7%).
El 10% de los encuestados reportó laborar en entidades con más de 5.000 colaboradores, un 30% en entidades con 250 empleados o menos y un 25% en entidades con personal entre 251 y 1000 empleados.
Cargo dentro de la empresa
de los participantes
11
12
© 2019 KPMG S.A., sociedad anónima costarricense y firma miembro de la red de firmas miembros independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”) una entidad suiza. Todos los derechos reservados.
